Impianti portuali e cyber security: l’uso del documento di valutazione del rischio e del PSFP

Gli impianti portuali non sono immuni agli attacchi del cyber crime, ecco dunque che si rende necessario precisare le misure di cyber security idonee al contrasto delle minacce.

Utili strumenti sono il documento di valutazione del rischio PFSA e il Piano di Security dell’Impianto Portuale (PSFP).

Gli episodi di attacco ai sistemi portuali infatti non mancano. Per esempio il mese di giugno 2017 è stato caratterizzato da una significativa ondata di attacchi informatici, eseguiti mediante la diffusione di un software maligno di tipo ransomware [1], la cui portata in termini di effetti di danno e complessità strutturale, ha determinato la paralisi di reti e sistemi informatici di medie e grandi aziende in tutto il mondo.

Il ransomware prende il nome di NotPetya [2] e secondo esperti analisti di primarie società di sicurezza informatica, il suo concepimento è stato finalizzato a creare pregiudizio ai sistemi informatici di aeroporti, gestori di energia elettrica e di altre grandi infrastrutture di base.

Impianti portuali e cyber security: il caso AP Moeller – Maersk

Fra le società vittima dell’attacco, risalta il nome di AP Moeller – Maersk, primaria società danese attiva in particolare nel settore della logistica e trasporti via mare di container; attività queste svolte, tra le altre, mediante le società controllate Maersk Line, la società terminalistica APM Terminals e la società produttrice di container Maersk Container Industry[3].

Nel caso di specie, la misura del danno causato dal malware arriva direttamente dall’azienda, la quale nel rapporto finanziario relativo al secondo trimestre del 2017, ha stimato una perdita compresa tra 200 e 300 milioni di dollari, derivanti da una “interruzione significativa dell’attività” decisa dalla società, a seguito dell’infezione dei sistemi da parte del ransomware NotPetya[4].

In questo contesto, precisa poi AP Moeller – Maersk, la società è riuscita a mantenere il pieno controllo di tutte le navi della flotta durante l’attacco, garantendo sempre la sicurezza dei propri dipendenti.

Il caso AP Moeller – Maersk, nella sua portata complessiva in termini di entità del danno e di tipologia del player di settore coinvolto, rappresenta oggi il precedente più rilevante in materia di cyber security marittima e portuale.

Ma non è l’unico evento, poiché la realtà dei porti ed in particolare degli impianti portuali[5] nei quali si realizza operativamente l’interfaccia nave/porto[6] con le unità navali, ha registrato numerosi precedenti di questo tipo.

In ordine di tempo ed importanza rispetto al 2017, assume rilievo l’attacco subito dal Porto di Barcellona il 20 settembre 2018[7] e pochi giorni dopo, il 28 settembre, l’attacco accertato di natura ransomware subito dal Porto di San Diego negli Stati Uniti[8].

Dunque cosa sta succedendo? La risposta si trova nel necessario percorso di evoluzione informatica e tecnologica, che ha coinvolto e continua a coinvolgere, l’intero settore dei trasporti via mare e delle relative infrastrutture.

In questo senso, all’interno di un mercato di carattere globale per sua stessa vocazione, la competitività di porti e compagnie di navigazione si fonda oggi più che mai, sull’implementazione delle moderne tecnologie informatiche e di trasmissione dei dati all’interno dei processi di logistica integrata (e se possibile dell’intera supply chain).

Gli esempi sono molti, uno per tutti per completezza e lungimiranza d’azione è il Porto di Amburgo, che attraverso la sua Autorità Portuale ha avviato un aggiornamento dell’intera infrastruttura IT, puntando allo sviluppo di una piattaforma di comunicazione in cloud basata sulle tecnologie Internet of Things[9] (c.d. IoT).

Il quadro che si compone, vede pertanto lo sviluppo di porti c.d. Intelligenti o smart, unitamente all’implementazione a bordo delle navi di sistemi di navigazione elettronica (fondati in via principale su tecnologia GPS, AIS ed ECDIS) e di sistemi digitali, connessi alla rete dati con tecnologia IoT.

Questa evoluzione vede processi operativi e logistici un tempo operanti stand alone, aprirsi attraverso le tecnologie informatiche e di trasmissione dei dati ad essi applicate. Lo scopo è dunque veicolare dati tecnici rilevanti per l’ottimizzazione dei processi stessi, al fine di generare una rete di nuove informazioni, utilizzabili dai medesimi sistemi di gestione IT o da sistemi terzi.

Questa apertura alla rete dati, rappresenta contestualmente il veicolo principale, per gli attacchi informatici finalizzati ad interrompere o pregiudicare specifiche attività operative, sia in ambito portuale che marittimo.

Come includere i rischi di cyber security nel PFSA

Lo scenario esaminato in premessa, evidenzia la convergenza di temi di carattere tecnico -informatico, con esigenze di carattere formale e procedurale.

Questa convergenza, trova rispettivamente nel documento di valutazione del rischio dell’impianto portuale (c.d. PFSA[10]) e nel Piano di Security dell’Impianto Portuale (c.d. PFSP), i documenti di riferimento per il trattamento dei rischi connessi alla sicurezza informatica di dati ed informazioni, nell’ambito delle port facilities.

In particolare, fra gli elementi oggetto di valutazione del rischio di security di un impianto portuale[11], sono allo stato indicati i sistemi radio e telecomunicazioni, compresi reti e sistemi informatici[12] presenti in specifiche zone ad accesso ristretto[13] dell’Impianto Portuale.

In questo senso, il Regolamento (CE) n. 725/2004 che recepisce in ambito comunitario il Capitolo XI-2 della Convenzione SOLAS ed il Codice ISPS, non sembrerebbe fornire indicazioni ulteriori circa la valutazione di scenari di minaccia specifici relativi alla sicurezza informatica di dati ed informazioni[14], concentrandosi invece, sugli incidenti di security derivanti da possibili minacce di carattere prevalentemente “fisico”[15].

Questo aspetto risulta comune rispetto agli Impianti Portuali ed ai navigli sottoposti al Codice ISPS.

Allo stesso modo, non risulterebbero indicazioni specifiche presso il successivo Programma Nazionale di Sicurezza Marittima (PNSM) pro tempore vigente, approvato con Decreto n. 83/T del 20/06/2007 del Ministro dei Trasporti, ed emanato per individuare norme e procedure di coordinamento in materia di sicurezza marittima e portuale, nell’ambito del Regolamento (CE) n. 725/2004.

Le integrazioni necessarie

Come procedere nelle more di un’eventuale integrazione di questo tema nei due specifici documenti che disciplinano la security marittima e degli impianti portuali?

Anzitutto in sede di elaborazione o modifica del PFSA da parte del Capo di Compartimento Marittimo ed Autorità di Sistema Portuale (nei porti in cui la stessa è istituita), sentiti i terminalisti interessati, potrebbe essere opportuno aggiornare l’elenco delle fonti tecniche e normative, con i seguenti documenti e relativo contenuto:

• Risoluzione MSC 428(98): emanata dall’IMO in data 16/06/2017: Il documento rivolto in via generale a tutti gli stakeholders del settore marittimo (ivi inclusi porti ed impianti portuali), si concentra sulla necessità di integrare il sistema di gestione della sicurezza (qui, Safety) della navigazione e delle persone che in essa vi operano (c.d. ISM Code), con le esigenze di identificazione e valutazione dei rischi informatici pertinenti, nell’ambito degli obiettivi e requisiti del Codice ISM. Il documento seppure rivolto in via principale all’ambito navale, cita gli impianti portuali fra coloro che sono chiamati a dare il proprio contributo nella tutela della navigazione rispetto ai rischi connessi alla cybersecurity[16].
• Guidelines on Maritime Cyber Risk Management: emanate con la Circolare MSC-FAL.1/Circ.3 emanata dall’IMO in data 5 luglio 2017: Il documento presenta raccomandazioni[17] rivolte a tutti gli attori del settore marittimo e portuale in tema di cybersecurity. In particolare, il paragrafo 2.1.1. della Circolare consente di integrare in un rapporto di genere a specie, gli elementi dell’impianto portuale oggetto di valutazione del rischio ex Paragrafo 15.3.5., Codice ISPS. Questo può avvenire mediante la specificazione dei seguenti elementi considerati vulnerabili (in parte già desumibili nel Codice ISPS), a fronte della loro interconnessione alla rete di dati:

1. Bridge systems (rif. nave);
2. Cargo handling and management systems;
3. Propulsion and machinery management and power control systems;
4. Access control systems;
5. Passenger servicing and management systems;
6. Passenger facing public networks;
7. Administrative and crew welfare systems;
8. Communication systems.

Ciascun elemento potrà essere a sua volta esplicitato in sottotemi, relativi agli specifici sistemi implementati nel singolo Impianto Portuale, a seconda sia esso servente unità navali ISPS passeggeri o merci.

In questo senso, potrebbe inoltre essere utile distinguere per i singoli sistemi utilizzati, se trattasi di: sistemi di tipo IT (Information Technology, dove i dati sono usati come informazioni) oppure sistemi di tipo OT (Operational Technology, dove i dati sono impiegati per monitorare processi e flussi fisici)[18].

I paragrafi 2.1.3. e 2.1.4. della Circolare, potrebbero consentire poi un’integrazione almeno basilare degli scenari fisici di minaccia di cui al Paragrafo 15.11, Parte B Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004.

Considerando in particolare i seguenti scenari di rischio, intenzionali e non:

1. Introduzione di malware;
2. Attività di Hacking (termine generico verosimilmente riconducibile, anche, alle fattispecie criminose introdotte nel Codice Penale con la Legge n. 547/1993);
3. Inadeguatezza nella progettazione, implementazione, aggiornamento e mantenimento dei sistemi IT (ed OT).

Il documento si chiude con la considerazione relativa alla rapida evoluzione dei rischi relativi alla sicurezza informatica, in funzione dell’evoluzione delle relative tecnologie.

Questo aspetto, rende necessario un approccio dinamico e di processo, che possa ricondursi in un più generale sistema di risk management, dove le fasi tipiche di identificazione, analisi, ponderazione e trattamento dei rischi, siano poste alla base delle tecniche di prevenzione e protezione di informazioni e dati.

Decreto legislativo 18 maggio 2018 n. 65, in materia di attuazione della direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. Direttiva NIS).

In questo senso, il combinato disposto di cui all’art. 3, comma I, lett. g), con l’art. 4, comma II ed Allegato II, n.ro 2, sez. c) del medesimo Decreto, consente di individuare tra gli Operatori di Servizi Essenziali sottoposti all’applicazione del D.Lgs. 65/2018, gli Impianti Portuali quali definiti all’articolo 2, n. 11 del Regolamento (CE) n. 725/2004, ivi inclusi i soggetti che all’interno di essi gestiscono opere e attrezzature all’interno dei porti (ex D.lgs. n. 203/2007).

Il Decreto rappresenta pertanto per gli Impianti Portuali, l’elemento di base per integrare in ottica di sistema, i provvedimenti futuri in tema di cybersecurity dedicati specificamente al settore portuale, stante la presa d’atto che, “Le reti ed i sistemi informativi svolgono un ruolo vitale per la società. È essenziale che questi siano affidabili e sicuri per le attività economiche e sociali…” (vedi, Considerando 1).

La valutazione del rischio degli impianti portuali

I documenti sopra indicati potrebbero pertanto già figurare nelle revisioni dei PFSA, integrando gli elementi indicati nelle Guidelines on Maritime Cyber Risk Management dell’IMO.

In questo senso, nell’ambito delle possibili metodologie per la valutazione dei rischi di security negli Impianti Portuali, le Linee guida per la valutazione dei rischi e per la redazione dei piani di sicurezza approvate dal CISM (6 aprile 2004), continuano a rappresentare un riferimento di base per la costruzione ed elaborazione dei PFSA.

Rispetto alle Linee Guida, la portata innovativa del legislatore rispetto ai rischi di cybersecurity, potrebbe utilmente interessare l’integrazione degli scenari di rischio di base in esse indicati, aggiornando altresì i connessi concetti di accessibilità e sicurezza organica ivi contenuti.

Come affrontare i rischi di cyber security nel PFSP

La valutazione di sicurezza dell’impianto portuale è parte essenziale ed integrante del processo di elaborazione ed aggiornamento del Piano di Security dell’Impianto Portuale (PFSP), ovvero del documento “…elaborato per assicurare l’applicazione di misure finalizzate a proteggere l’impianto portuale (e le navi) …dal rischio che si verifichi un problema di sicurezza”[19].

Misure di security che devono essere declinate in tre distinti livelli (c.d. Livelli MARSEC) adeguati al rischio rilevato [20].

Anche in questo documento, la sicurezza informatica (o cyber security) non trova norme di riferimento specifiche, ma vi rientra solo attraverso concetti e disposizioni di sprono a carattere generale [21].

In ogni caso, in fase di elaborazione del PFSP, le misure di sicurezza di tipo informatico, potrebbero allo stato trovare un’utile collocazione nell’ambito delle, “Procedure e pratiche volte a proteggere le informazioni sensibili sotto il profilo della sicurezza conservate in forma cartacea o elettronica”[22].

Questo elemento costitutivo del piano, considera le informazioni sensibili per la security dell’impianto portuale (rappresentate in via principale dal PFSP [23]), sul piano prettamente “statico”, concentrato cioè nella fase della conservazione fisica delle informazioni (es. all’interno di un archivio cartaceo o elettronico).

Individuata in ogni caso una possibile collocazione delle misure di security informatica nella struttura complessiva del documento, seppure limitata nel contenuto, è necessario a questo punto fare riferimento a guide e standard tecnici esterni all’IMO e ad oggi non contenuti in prescrizioni integranti il Codice ISPS o le altre fonti di diritto europeo (Reg. CE 725/2004 o Dir. 65/2005) o nazionale. Fra questi riferimenti, assumono particolare rilievo pratico i seguenti documenti [24]:

1. The Guidelines on Cyber Security Onboard Ships, Version 3, emanate dal Baltic and International Maritime Council (BIMCO)[25];
2. Italian Cybersecurity Report – Controlli essenziali di Cybersecurity, CIS Sapienza, 2016 [26] nell’ambito del Framework nazionale per la Cybersecurity e la Data Protection [27] del Febbraio 2019.

Impanti portuali e cyber security: misure tecniche di protezione

Le seguenti misure di prevenzione e protezione, sono individuabili in entrambe le pubblicazioni indicate, come una selezione di controlli tecnici essenziali, idonei a ridurre i rischi connessi alla sicurezza informatica. All’interno dei singoli PFSP, presso il paragrafo individuato per l’indicazione delle misure di cybersecurity applicate, potrebbe essere opportuno indicare:

1. L’esistenza di un inventario di tutti i dispositivi aziendali autorizzati ad accedere alla rete aziendale. L’elenco aggiornato non deve limitarsi all’hardware, ma anche al software in uso. È necessario inoltre che i dispositivi estranei che tentano un accesso non autorizzato nella rete, siano prontamente individuati mediante sistemi di IDS o IPS[28];
2. L’uso di quali servizi web è strettamente necessario all’attività aziendale (ivi inclusi servizi mail, cloud e social network). In questo senso la selezione dei servizi deve essere effettuata considerando anche i rischi collegati al trasferimento, invio e condivisione di dati dell’azienda e del personale verso terze parti[29];
3. I dati e le informazioni critiche più rilevanti, individuati e mappati dall’azienda in base al proprio settore di business. Dati ed informazioni sono asset rilevanti, la cui perdita potrebbe assumere rilievo sotto forma di sanzioni, perdite economiche e perdita di vantaggio competitivo;
4. I dati del responsabile designato per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici (CISO o Security Manager);
5. Le fonti di legge e regolamento aventi rilevanza in tema di cybersecurity, che risultino applicabili per l’azienda. Nel caso di specie tutta la normativa di port security applicabile, incluse le norme in materia di tutela dei dati personali;
6. I software di protezione anti virus o anti malware utilizzati. In questo senso è necessaria l’installazione ed aggiornamento di specifici software dedicati, su tutte le macchine che compongono il sistema informatico in uso, così da evitare la formazione di vettori di infezione per altre macchine[30];
7. L’esistenza di password diverse per ogni account, di complessità adeguata, unitamente ad eventuali sistemi di autenticazione a più fattori[31]. Le recenti best practices suggeriscono di forzare gli utenti a scegliere password lunghe almeno 12 caratteri, che contengano almeno un numero e un carattere non alfanumerico;
8. L’elenco del personale autorizzato ad accedere ai servizi informatici, in remoto o locale. Questi soggetti devono dispone di utenze personali non condivise con altri e l’accesso deve essere opportunamente protetto. Inoltre i vecchi account non più utilizzati, devono essere disattivati;
9. Il piano dei privilegi di accesso, per cui ogni utente può accedere solo alle informazioni e sistemi di cui necessita e/o che sono di sua competenza;
10. I programmi di formazione e sensibilizzazione del personale sui rischi di cybersecurity, così da dimostrare l’attuazione di un percorso formativo idoneo a fornire almeno le nozioni basilari della sicurezza[32];
11. Quale personale addetto procede alla configurazione iniziale di tutti i sistemi e dispositivi, avendo cura di modificare le credenziali di accesso impostate di default dai produttori[33];
12. Il piano di backup delle informazioni e dei dati critici per l’azienda. I backup devono essere conservati in modo sicuro e verificati periodicamente[34];
13. Gli specifici strumenti di protezione delle reti e dei sistemi (es. firewall, IDS, IPS, Mail/web filter), utilizzati contro gli accessi o tentativi di accesso non autorizzati[35];
14. Il piano di reazione e comunicazione interna, idoneo ad informare tutti i soggetti coinvolti nell’unità di crisi aziendale, circa il rilevamento di un incidente di security tentato o consumato;

L’esistenza di patch di aggiornamento per tutti i software e firmware utilizzati, avendo cura di dismettere le macchine non più aggiornabili. Le patch di sicurezza ordinaria devono essere incluse nei cicli di manutenzione periodica, ed applicate correttamente. Le patch critiche inoltre vanno considerate anche in termini di impatto operativo sui sistemi OT presenti[36].

Note eriferimenti bigliografici

[1] Vedi definizione fornita da ENISA secondo la quale, “Ransomware depicts a type of malware (like Viruses, Trojans, etc.) that infect the computer systems of users and manipulates the infected system in a way, that the victim can not (partially or fully) use it and the data stored on it. The victim usually shortly after receives a blackmail note by pop-up, pressing the victim to pay a ransom (hence the name) to regain full access to system and files.

[2] Per un’analisi suggestiva sugli effetti del malware anche con riferimento al caso Maersk, vedi.

[3] Vedi Il Gruppo Maersk si fa in due: energia e trasporti.

[4] Vedi pag. 5, Maersk Interim Report 2017.

[5] Per impianto portuale, deve intendersi una località nella quale ha luogo l’interfaccia nave/porto. Vedi, Regola 1.9, Capitolo XI-2 SOLAS, Allegato I, Regolamento (CE) n. 725/2004.

[6] Il termine Interfaccia nave/porto, indica “le interazioni che hanno luogo quando una nave è direttamente ed immediatamente interessata da azioni che comportano il movimento di persone, di merci o la fornitura di servizi portuali alla nave o dalla nave”. Vedi Regola 1.8, Capitolo XI-2 SOLAS, Allegato I, al Regolamento (CE) n. 725/2004.

[7] Vedi.

[8] Vedi.

[9] ENISA definisce l’Internet of Things (IoT) come, “a cyber-physical ecosystem of interconnected sensors and actuators, which enable intelligent decision making”. Più esaustiva la definizione fornita da Enciclopedia Treccani on line, che definisce l’IoT come “Rete di oggetti dotati di tecnologie di identificazione, collegati fra di loro, in grado di comunicare sia reciprocamente sia verso punti nodali del sistema, ma soprattutto in grado di costituire un enorme network di cose dove ognuna di esse è rintracciabile per nome e in riferimento alla posizione”.

[10] Il Port facility Security Assessment (o PFSA), “…consiste in un’analisi dei rischi di tutti gli aspetti legati al funzionamento di un impianto portuale al fine di individuare quale o quali delle sue parti sono maggiormente suscettibili e/o rischiano maggiormente di subire un attacco…”. Vedi, Paragrafo 1.17, Parte B Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004.

[11] Vedi, Sezione A/15.5.2., Sezione A, Codice ISPS, Allegato II, al Regolamento (CE) n. 725/2004.

[12] Vedi, Paragrafi 15.3.5., 15.4.11., 15.7.3., Parte B Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004.

[13] Vedi, Paragrafo 16.25.8, Parte B Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004.

[14] Comando Generale delle Capitanerie di Porto, Circolare Titolo Security n. 40 del 29/03/2018, Maritime cyber risk management. Vedi.

[15] Vedi Paragrafo 15.9 e ss., Parte B Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004.

[16] Resolution MSC.428 (98), IMO, Maritime Cyber Risk Management in Safety Management Systems, “RECOGNIZING ALSO that…ports and port facilities, and all other maritime industry stakeholders should expedite work towards safeguarding shipping from current and emerging cyber threats and vulnerabilities”.

[17] Vedi, Par. 2.2.3., Resolution MSC.428 (98), IMO.

[18] Vedi, Par. 2.1.2, Resolution MSC.428 (98), IMO.

[19] Vedi, Sezione A/2.1.5, Codice ISPS, Allegato II, al Regolamento (CE) n. 725/2004.

[20] In tema di organizzazione complessiva della security degli impianti portuali ISPS, si segnala il seguente contributo inerente la centralità del PFSP.

[21] Comando Generale delle Capitanerie di Porto, Circolare Titolo Security n. 40 del 29/03/2018, Maritime cyber risk management. Vedi.

[22] Vedi, Paragrafo 16.8.6., Parte B, Codice ISPS, Allegato III, al Regolamento (CE) n. 725/2004. Da considerare che questo elemento, unitamente a quelli dell’intero Paragrafo 16.8, assume valore cogente ai sensi dell’art. 3, comma 5 del Regolamento (CE) n. 725/2004.

[23] Vedi, Sezione A/16.7, Codice ISPS, Allegato II, al Regolamento (CE) n. 725/2004.

[24] In parte indicati a pagina 4 delle già citate Guidelines on Maritime on Cyber Risk Management.

[25] Vedi.

[26] Questo documento contiene 15 controlli (o misure di prevenzione e protezione) essenziali, rappresentanti quelle pratiche di sicurezza che non possono essere ignorate. Vedi, ;

[27] Questo documento elaborato da CIS Sapienza e CINI Cybersecurity National Lab, si basa sul Framework for Improving Critical Infrastructure Cybersecurity, (oggi alla versione 1.1. del 16/04/2018), emesso dallo United States National Institute of Standard and Technology (NIST). Scopo del Framework nazionale è fornire uno strumento operativo per organizzare i processi di cybersecurity nell’ambito delle organizzazioni pubbliche e private.

[28] Vedi in senso analogo, Par. 5.2., sezione Detection, blocking and alerts, della Guidelines BIMCO.

[29] Vedi in senso analogo, orientato all’ambito procedurale, Par. 5.3., sezione Training and awareness, della Guidelines BIMCO.

[30] Vedi nello stesso senso, Par. 5.2., sezione Malware detection, della Guidelines BIMCO.

[31] Vedi in senso analogo, orientato all’ambito procedurale, Parr. 5.1., sezione Defence in depth and in breadth, 5.3., sezione Training and awareness, 5.3., sezione, Use of administrator privileges, della Guidelines BIMCO.

[32] Vedi in senso analogo, orientato all’ambito procedurale, Par. 5.3., sezione Training and awareness, della Guidelines BIMCO.

[33] Vedi in senso analogo, Par. 5.2., sezione Data recovery capability, della Guidelines BIMCO.

[34] Vedi, Par. 7.2., sezione Recovery plan, della Guidelines BIMCO.

[35] Vedi, Par. 5.2., sezioni Limitation to and control of net ports, protocols and services; Configuration of net devices such as firewalls, router and switches, della Guidelines BIMCO.

[36] Vedi, Par. 5.2., sezione Application software security (patch management), della Guidelines BIMCO.